本文へジャンプします。

TOP

ニフクラSEハンドブック

ニフクラ構成サンプル

ドキュメント情報

区分

設計

リリース日

2022年7月1日

留意事項

2022 年 3 月時点の機能をもとに作成しております。
機能は順次エンハンスされますので、検討時にはニフクラホームページにて最新情報を確認ください。

■ニフクラホームページ

https://pfs.nifcloud.com/

はじめに

  • 本ドキュメントの目的

    • 本ドキュメントは、ニフクラでの商談対応やシステム設計を担当される方々が、ニフクラ上でのシステム設計に必要な知識を習得し、商談対応やシステム設計を円滑に行えるようになることを目的とします。

  • 本ドキュメントの対象読者

    • ニフクラを利用して商談対応、要件定義、システム設計を行われる方々

    • オンプレミスまたはクラウド(IaaS)での商談対応、要件定義、システム設計の経験者

  • 前提知識

    • システム設計/システム運用に関する基本的な知識

      • OSに関する基本的な知識

      • インターネット、イントラネットに関する基本的な知識

      • セキュリティに関する基本的な知識

      • バックアップ、監視、冗長化などシステム設計/システム運用に関する基本的な知識

        • システム設計経験があることが望ましい

  • 仮想化技術に関する以下の基本的な知識

    • ハイパーバイザー、仮想サーバー、仮想ストレージ、仮想ネットワークに関する基本的な知識

    • VMwareに関する基本的な知識

  • 本ドキュメントの注意事項

    • 本ドキュメントは、2022年3月時点の機能をもとに作成しています。ニフクラは継続的にエンハンスが行われるクラウドサービスです。

  • ニフクラサービスの変更は最新のドキュメントを参照してください。

本ドキュメントで提供する内容
  • 本ドキュメントで提供する内容

    • 本ドキュメントではニフクラを通じて、商談対応や要件定義、システム設計をされる皆様に提供してきた 利用者がニフクラで設計をする際のナレッジ(実商談で培われたナレッジ)を、システムを設計する上でのポイントをカテゴリに分類して提供します。

      • 利用者がニフクラ上でシステム設計/構築する際のナレッジを記載しています。サービスを提供するニフクラ側が作業する内容は含みません。

    • 本ドキュメントで、記載しているサービスに関して利用できるゾーン、リージョンが限定されている場合があります。各サービスでの提供ゾーン/リージョンは最新のニフクラ仕様ページを確認してください。

  • 記載内容の粒度

    • ナレッジとして記載した情報の粒度は、実際の商談対応や要件定義、システム設計の問い合わせに対する回答の粒度です。具体的には、以下のような問い合わせに対する回答を集約して、ナレッジとして記載しています。

      • [Q]ニフクラでOracleは利用できるか。

      • [A]ニフクラOVMを利用して、Oracle Databaseライセンスを持ち込むことができる仮想サーバーを所定の方法で作成し、そのサーバーにOracle Databaseをインストールして利用できます。

本ドキュメント活用のメリット
  • 知識の習得

    • 利用者がニフクラでシステムを構成する際に必要な知識を習得できます。

  • ニフクラが提供するサービス/機能を早い段階で適用判断が可能

    • 本ドキュメントで提供するナレッジを活用すると、システムに対する要求事項のうちシステム構成の課題を解決するために構成サンプルを提示し、ニフクラが提供するサービスや機能を利用するか、あるいは利用者側でミドルウエアなどを手配してニフクラの仮想サーバーに導入するかの判断を、商談や要件定義などの早い段階で行えます。

  • システム構成の手戻りを抑制可能

    • ニフクラのシステム構成に関するナレッジを習得することで、システム設計の後工程になって問題が発生するような事態を抑制できます。

アイコンの説明
  • 本ドキュメント構成図に使用されているアイコンは下記の通りとなります。

  • リージョン及びゾーンについて特に記載がなければ、単一リージョン、単一ゾーン構成を示します。

  • 構成図内の名称は略称で記載されている場合があります。(下記()内が略称の例)

image image

ガイダンス

カテゴリー「設計」は必要な観点によって5つのドキュメントに分類しています。確認して必要なドキュメント/章を参照してください。

設計時に必要な観点
個別に設計する際に必要な観点
移行について
運用・保守について
構成サンプル
  • 本ドキュメントの下記章を参照

    • 1. Web/DB単一ゾーン構成

    • 2. Web/DB複数ゾーン構成

記載内容について

本ドキュメントでは、ニフクラでの基本的な構成を記載し、その構成を実装する際に必要な知識を説明します。

  1. Web/DB 単一ゾーン構成

    • まず、WebサーバーとDBサーバーだけを配備する、シンプルな構成を記載します。この構成を実装するにあたって、必要となるニフクラ(IaaS/Paas)の以下の機能などについて説明します。

      • ゾーン

      • プライベートLAN

      • ファイアウォール

      • 仮想サーバー

      • ニフクラRDB ※冗長化構成(主系/待機系の運用待機構成)、リードレプリカ

  2. Web/DB 複数ゾーン構成

    • Web/DBの構成について、ニフクラでとりうる可用性や性能向上の考え方を盛り込んだ構成です。この構成を実装するにあたって、必要となるニフクラ(IaaS)の以下の機能などについて説明します。

      • ルーター(ネットワーク階層構成)

      • プライベートブリッジ

      • 追加NIC

      • ロードバランサー(L4)

構成例概要

ニフクラでの基本的な構成を記載し、その構成を実装する際に必要な知識を説明していきます

image

  1. Web/DB 単一ゾーン構成 の作業

    1. プライベートLANの実装

    2. WebFW ファイアウォールの実装

    3. WebFW ファイアウォールグループ設定

    4. DB ファイアウォールの実装

    5. DB ファイアウォールグループ設定

    6. SSH キーの準備

    7. 仮想サーバーの実装

    8. 仮想サーバーへのログイン確認

    9. ニフクラ RDB の配備

    10. インターネットへ公開

  2. Web/DB 複数ゾーン構成 の作業(1. に追加する作業について記載)

    1. プライベートLANの実装

    2. プライベートブリッジの実装

    3. 追加 NIC の実装

    4. ファイアウォールグループの作成

    5. ルーターの実装

    6. 仮想サーバーの作成

    7. DBサーバーに追加NICを付与

    8. ロードバランサー(L4)の実装

    9. DBサーバーの冗長化

    10. アクセス制御

1.Web/DB単一ゾーン構成

Web/DB単一ゾーン構成概要

image

  • 本章では、WebサーバーとDBサーバー(冗長構成)を配備するシンプルな構成の実装を記載しながら、以下のニフクラ(IaaS、PaaS)の機能を説明していきます。

  • DBサーバーはニフクラRDBを利用した冗長構成としています。

    1. 本章で例示するシステム構成の概要

      • プライベートLANを作成

      • Webサーバー用にファイアウォールを設定

      • DBサーバー用にDBファイアウォールを設定

      • Webサーバー1台を配備(グローバルIPアドレスを付与)DBサーバーをニフクラRDBで運用待機構成(主系/待機系)、リードレプリカで構成

    2. 本章で説明するニフクラ(IaaS、PaaS)の機能

      • ゾーン

      • プライベートLAN

      • ファイアウォール

      • DBファイアウォール

      • 仮想サーバー

      • ニフクラRDB

作業フロー

システム設計後の実装作業は以下の流れになります

  1. プライベートLANの実装

  2. WebFW ファイアウォールの実装

  3. WebFW ファイアウォールグループ設定

  4. DB ファイアウォールの実装

  5. DB ファイアウォールグループ設定

  6. SSH キーの準備

  7. 仮想サーバーの実装

  8. 仮想サーバーへのログイン確認

  9. ニフクラ RDB の配備

  10. インターネットへ公開

※インターネットに公開する場合、セキュリティポリシーに従って対応してください。

プライベートLANの実装

image

構成図内補足説明
【ゾーン】

ゾーンは、ある地域のデータセンター (リージョン) 内で完全に別のシステムとして運用されている環境です。リージョン内では、あるゾーンで障害が発生しても、別のゾーンに障害が及ばないよう、物理的に区分して、信頼性を高めるよう設計されています。

【グローバルNW】

グローバルネットワークは各ゾーンに共有で存在するため、特に利用者側で作成、設定等は必要ありません。仮想サーバーなどの作成時にグローバルIPアドレスを利用するかを選択でき、利用する場合はこのグローバルネットワークに接続されます。

【プライベートLAN】

プライベートLANは、インターネットに接続していない、且つ共有環境からL2レベルで隔離されたネットワークです。利用者が任意に作成します。CIDRはネットワークを区分するために設定する情報です。

実装手順
  • 1つのリージョン内にプライベートLANを作成します

    • まずはじめに、仮想サーバーなどを配備する『プライベートLAN』を作成します。

    • プライベートLANは、ニフクラの利用者が任意に作成できるネットワークです。プライベートLAN作成は、まずゾーンを選択し下記表のCIDR情報などをして作成します。

      項目

      必須

      内容

      プライベートLAN名

      必須

      作成するプライベートLAN名を指定します。
      半角英数字 1~15文字

      ゾーン

      必須

      決定したゾーンをプルダウンより選択します。

      CIDR

      必須

      プライベートLANに設定するCIDRを設定します。
      設定可能なプレフィックスは16~28になります。

      料金プラン

      必須

      料金プランをプルダウンより選択します。

      メモ

      任意

      500文字以内メモを記載します。

WebFW ファイアウォールの実装

image

  • WebFWファイアウォールグループを設定

    • 仮想サーバー、ルーター等に適用可能なファイアウォールグループをWebFWという名称で作成します。

      WebFW

      Incoming

      特定のアクセス元から、22/TCPへのリモートログインを許可する不特定のアクセス元(構築時は特定のアクセス元)に対して、80/TCPなどの接続を許可する

      Outgoing

      設定無し(すべて許可)

  • ファイアウォールグループ

    • ファイアウォールグループは、プロトコル(TCP、UDP、ICMP、GRE、ESP、AH、VRRP、L2TP、RDP、SSH、HTTP、HTTPS、ICMPv6-all)、ポート番号、Incoming/Outgoingでアクセス許可を制御する機能です。サーバー、ルーター、拠点間VPNゲートウェイに適用可能で、複数リソースを同一ファイアウォールグループに所属させることが可能です。

WebFW ファイアウォールグループ設定
  • ファイアウォールグループWebFW設定例

    プロトコル

    宛先ポート

    接続元種別

    IP/CIDR・グループ

    備考

    SSH

    22

    IP/CIDR

    x.x.x.x

    SSHログイン用の許可設定

    HTTP

    80

    IP/CIDR

    (構築時)x.x.x.x
    (完了時)0.0.0.0/0

    Webサービスアクセス用の許可設定

  • ファイアウォールグループについて

    • Incomingに関して、デフォルトではすべて拒否されます。

    • Outgoingに関して、デフォルトではすべて許可されます。

    • ファイアウォールルールではプロトコル、宛先ポート、接続元(先)種別、IP/CIDR・グループを設定します。

    • ファイアウォールルールでは許可するルールのみ指定が可能です。

    • 同一のファイアウォールグループに所属させた仮想リソース間はルールに関係なくアクセスが許可されます。

  • 注意事項

    • 仮想サーバーを配備する前に(配備時でも作成可能)、必ず、ファイアウォールグループでアクセス制御を設定してください。

    • 適切なアクセス制御を設定しないで仮想サーバーを配備した場合、不正なアクセスを受ける可能性があります。

    • 本章では、ファイアウォールグループを作成した後、仮想サーバーなどを配備するようにしています。

DB ファイアウォールの実装

image

  • DBファイアウォールグループを設定

    • ニフクラRDBに適用可能なファイアウォールグループをDBFWという名称で作成しルールを設定します。

      DBFW

      Webファイアウォールグループに所属するリソースからの通信を許可

  • 注意事項

    • ニフクラRDBを配備する前に(配備時でも作成可能)、必ず、DBファイアウォールグループでアクセス制御を設定してください。

    • 適切なアクセス制御を設定しないでニフクラRDBを配備した場合、不正なアクセスを受ける可能性があります。

    • 本章では、DBファイアウォールグループを作成した後、ニフクラRDBを配備するようにしています。

DB ファイアウォールグループ設定
  • DBファイアウォールグループDBFW設定例

    接続元種別

    IPアドレス・グループ

    備考

    グループ

    WebFW

    Web用のファイアウォールグループWebFWを指定し、Webサーバーからの通信を許可

  • DBファイアウォールグループについて

    • デフォルトでは すべて拒否されます。

    • ファイアウォールルールでは接続元種別、IPアドレス・グループを設定します。

    • ファイアウォールルールでは許可するルールのみ指定が可能です。

    • 接続元種別としてCIDRか、IaaSで作成したファイアウォールグループの指定が可能です。

  • 注意事項

    • ニフクラRDBを配備する前に(配備時でも作成可能)、必ず、DBファイアウォールグループでアクセス制御を設定してください。

    • 適切なアクセス制御を設定しないでニフクラRDBを配備した場合、不正なアクセスを受ける可能性があります。

    • 本章では、DBファイアウォールグループを作成した後、ニフクラRDBを配備するようにしています。

SSH キーの準備
  • 仮想サーバーへのログイン用SSHキー作成

    • ネットワークの設定後、仮想サーバーを作成します。
      まず、仮想サーバー作成の準備として、Linux系の仮想サーバーへログインする際に使用するSSHキーを作成します。
      SSHキー作成時にダウンロードが可能な秘密鍵は、*.pemという名称になります。

  • 作成したSSHキーの利用

    • 作成したSSHキーは作成した仮想サーバーへログインする際に利用します。
      仮想サーバーがLinux系OSの場合は、TeraTermなどのSSHクライアントを用いて、作成した*.pemを利用する設定をして仮想サーバーにSSHでログインします。

      Windowsの場合は仮想サーバーを作成時に管理者アカウント、パスワードを設定できるためそのアカウント、パスワードで仮想サーバーにリモートデスクトップでログインします。

  • SSHキーの管理

    • 作成したSSHキーは、厳重に保管/管理してください。

      SSHキーを紛失した場合

      SSHキーを紛失すると、そのSSHキーを割り当てた仮想サーバーにSSHでログインできなくなります。
      また、SSHキーは再発行はできません。そのため、新たにSSHキーを作成して、仮想サーバーを再度作成するか、
      コンソール機能を利用してrootユーザーでログインすることになります。

      SSHキーが漏えいした場合

      SSHキーが漏えいすると、そのSSHキーで仮想サーバーに不正にアクセスされる可能性があります。

仮想サーバーの実装

image

  • 仮想サーバーの作成

    • この構成では、Linux系OSで作成します。(本章でSSHログイン可能な設定にしています。)

      【サーバータイプ】

      仮想vCPU数とメモリ容量の組み合わせを示すタイプ名です。
      たとえば、仮想vCPU数1でメモリ容量4GBの組み合わせで“small4、e-small4、c-small4”というタイプ名で用意されています。

  • 仮想サーバー実装時に設定する項目

    • 仮想サーバーの作成時には、以下の項目を設定します。

      • 仮想サーバーのOS(CentOS,Windows等)

      • 仮想サーバーを配備するゾーン

      • サーバータイプ

      • サーバー名

      • メモ

      • 料金プラン

      • SSHキー(Linux系OSの場合)

      • ファイアウォール(WebFW及びDBFWファイアウォールグループを使用)

      • ネットワーク(プライベートLAN側を指定)

      • スクリプト

仮想サーバーへのログイン確認

image

  • 仮想サーバーの作成が完了したら付与されたグローバルIPアドレス、作成したSSHキーを利用して仮想サーバーにログインできることを確認します。この構成では、Linux系OSで作成します。(本章でSSHログイン可能な設定にしています。)

  • ログイン時の確認事項

    仮想サーバーにログインできることを確認します。

    仮想サーバーがLinux系の場合には、SSHクライアント側で、SSHキーを利用する設定をして仮想サーバーにログインしてください。

    仮想サーバーがWindowsの場合は、サーバー作成時に指定した管理者アカウント、パスワードを利用してログインしてください。

    仮想サーバーの作成時に、SSHキーを紛失した場合には、その仮想サーバーにはSSHでログインできません。

ニフクラ RDB の配備

image

  • ニフクラでは、データベースを自前で構築しないで利用可能なデータベースサービスであるニフクラRDBが用意されています。

    • ニフクラRDBを利用すると、手間のかかる構築/運用をニフクラ側に任せることができます。

    • 同一のゾーン内で冗長化が可能です。(冗長構成では、ニフクラRDBが配備される物理サーバーは別筐体になります。)

    • 主系のデータベースが障害時に、自動的に従系を主系として切り替えるフェイルオーバー機能が提供されています。

  • ニフクラRDBの機能

    1. ニフクラRDBの冗長化(データ優先、性能優先)

      • ニフクラRDBの冗長化が可能です。

      • 主系のデータベースが障害時に、自動的に従系を主系として切り替えるフェイルオーバー機能が提供されます。冗長構成の性能優先タイプに関してはDBエンジンがMySQLのときのみ利用が可能です。

    2. リードレプリカ

      • データベースに、読み込み専用のレプリカ(リードレプリカ)を配備可能です。リードレプリカを利用することで、読み込みの高速化と主系DBの負荷の軽減が図れます。

インターネットへ公開

image

構成図内補足説明
【アクセス制御のルール変更】

構築作業の完了後、Webサーバーへのhttpなどのアクセスを、特定のアクセス元から不特定のアクセス元となるように、ファイアウォールルールを変更します。

実装手順
  • インターネットへ公開

    • 仮想サーバーの構築作業、ニフクラRDBの設定作業が完了したら、WebFWのアクセス制御を変更します。

    • Webサーバー(80/TCPなど)へのアクセスを、不特定のアクセス元から接続可能な設定に変更します。

実装作業まとめ

image

  • 以上の実装手順で、Web/DBのシンプルな構成をニフクラ上に配備できます。

  • 本章の構成では、1つの ゾーンに仮想サーバー1台とニフクラRDBを冗長化して配備しています。Webサーバーに関しては、トラブルを考慮した構成や性能を考慮した構成ではありません。どこかが停止すれば、業務もその時点で停止する恐れがあります。

2. Web/DB複数ゾーン構成

Web/DB複数ゾーン構成概要

image

  • 本章では、ニフクラでとりうる可用性や性能向上の考え方を盛り込んだ構成の実装を記載しながら、以下のニフクラ(IaaS)の機能を説明していきます。

    1. 本章で例示するシステム構成の概要

      • プライベートLANをそれぞれのゾーンに3本ずつ作成

      • 各ゾーン間のプライベートLAN2本ずつをプライベートブリッジで接続(2組)

      • 追加NICを各ゾーンで1個ずつ作成

      • ファイアウォールグループを作成

      • 各ゾーンでルーターを作成し、プライベートLAN間を接続

      • 各ゾーンのプライベートLAN(プライベートブリッジ無)にWebサーバーを配備

      • 各ゾーンのプライベートLAN(プライベートブリッジ有1)にDBサーバーを配備

      • 各ゾーンのDBサーバーに追加NICを付与しプライベートLAN(プライベートブリッジ有2)に接続

      • Webサーバー用にロードバランサー(L4)を配備

      • DBサーバーの冗長化を実装

    2. 本章で説明する ニフクラ(IaaS)の機能

      • プライベートブリッジ

      • ルーター

      • 追加NIC

      • ロードバランサー(L4)

作業フロー

システム設計後の実装作業は以下の流れになります

  1. プライベートLANの実装

  2. プライベートブリッジの実装

  3. 追加 NIC の実装

  4. ファイアウォールグループの作成

  5. ルーターの実装

  6. 仮想サーバーの作成

  7. DBサーバーに追加NICを付与

  8. ロードバランサー(L4)の実装

  9. DBサーバーの冗長化

  10. アクセス制御

※インターネットに公開する場合、セキュリティポリシーに従って対応してください。

プライベートLANの実装

image

構成図補足
【複数ゾーン】

リージョン内では、あるゾーンで障害が発生しても、別のゾーンに障害が及ばないよう、物理的に区分して、信頼性を高めるよう設計されています。本章では複数のゾーンを利用してシステムを構成します。

実装手順
  • 複数ゾーンのあるリージョン内にプライベートLANをゾーンごとに3本ずつ作成します

    • まずはじめに、仮想サーバーなどを配備する『プライベートLAN』を異なるゾーンごとに3本ずつ作成します。

    • 本章構成では、Webサーバー用のネットワークと、DBサーバー用のプライベートLANを別々に、且つDBサーバーでは同期用のプライベートLANも別途作成し、それぞれ別のCIDRを設定します。

    • プライベートLANは、ゾーンを選択し下記表のCIDR情報などをして作成します。

項目

必須

内容

プライベートLAN名

必須

作成するプライベートLAN名を指定します。
半角英数字 1~15文字

ゾーン

必須

決定したゾーンをプルダウンより選択します。

CIDR

必須

プライベートLANに設定するCIDRを設定します。
設定可能なプレフィックスは16~28になります。

料金プラン

必須

料金プランをプルダウンより選択します。

メモ

任意

500文字以内メモを記載します。

  • リージョン情報

    日本国内のリージョン

    東日本リージョン:east-1/east-2/east-3/jp-east-4
    西日本リージョン:west-1/jp-west-2

    east-1リージョンのゾーン

    ゾーン :east-11/east-12/east-13/east-14

プライベートブリッジの実装

image

  • 各ゾーン間のプライベートLAN2本ずつをプライベートブリッジで接続

    • プライベートブリッジの作成・設定はコントロールパネルから行います。

      【プライベートブリッジ】

      east-1,east-3,west-1,jp-west-2リージョンの異なるゾーン間(ゾーン内も可)・リージョン間のプライベートLAN同士をL2接続することが可能なサービスです。
      プライベートブリッジを利用することにより、複数のゾーン・リージョンを利用したシステムを簡単に構築することが可能です。

追加 NIC の実装

image

  • 追加NICをゾーンごとに1つ作成

    • 次にDBサーバーを冗長化する際の同期に利用するためのプライベートLANに所属する追加NICを各ゾーンで1個ずつ作成します。

    • 追加NICはプライベートLANに対して作成します。

      【追加NIC】

      追加NICの作成時には、以下の項目を設定します。

      • ゾーン

      • メモ

      • ネットワーク(所属するプライベートLANを指定)

ファイアウォールグループの作成

image

構成図補足
【WebFW INルール 設定例】

プロトコル

宛先ポート

接続元種別

IP/CIDR・グループ

備考

SSH

22

IP/CIDR

x.x.x.x

SSHログイン用の許可設定

実装手順
  • ファイアウォールグループを設定

    • 仮想サーバー、ルーターに適用可能なファイアウォールグループで、セキュリティの設定を行います。以下のようにWebFW、DBFW、RouterFWという名称でファイアウォールグループを各ゾーン作成します。(Incomingのみ記載)

      WebFW

      特定のアクセス元から 22/TCPへのリモートログインを 許可

      DBFW

      Webサーバーから 22/TCPへのリモートログインを 許可
      (Webサーバーを踏み台として利用する)
      Webサーバーから DBで利用するポートへの接続を 許可

      RouterFW

      Webサーバーから 22/TCPへのリモートログインを 許可
      (Webサーバーを踏み台として利用する)
      ※ログイン先はDBサーバー用
      Webサーバーから DBで利用するポートへの接続を 許可

  • ロードバランサーを利用する場合の、ファイアウォールグループ設定

    • ロードバランサー(L4)を利用している場合は、アクセス元がロードバランサー(L4)のIPアドレスとなります。
      ロードバランサー(L4)のIPアドレスがアクセス元となる通信に関しては、基盤側にてすべてのアクセスを許可しているため、ファイアウォールルールでHTTP 80などのポートの開放は必要ありません。

ルーターの実装

image

  • 各ゾーンでルーターを作成し、プライベートLAN間を接続

    • ルーターを作成し、プライベートLAN間を接続します。
      ルーターの配備時にはファイアウォールグループで作成したRouterFWを適用します。

  • ルーターの作成時には、以下の項目を設定します。

    • ルーター名

    • ゾーン

    • タイプ

    • 料金プラン

    • メモ

    • ネットワーク設定

      • ここで今回の2つのプライベートLANをそれぞれ追加します。

    • ファイアウォール設定

      • RouterFWを選択します

    • ルータータイプ

      • small,medium,largeから選択します。タイプによって、設定できるルート数上限などが変わります。

    • IPアドレス

      • ルーターに設定するIPアドレスに関して、ゾーン間で同一のIPアドレスとならないよう注意してください。また、本構成の場合はルーターでDHCP機能を利用しないようにしてください。

仮想サーバーの作成

image

  • 仮想サーバー(Webサーバー、DBサーバー)作成

    • ネットワーク設定後、「SSHキーの準備」に従いSSHキーを作成し、各ゾーンでWebサーバー、DBサーバーを作成します。

    • この構成では、Linux系OSで作成します。(「ファイアウォールグループの作成」で、SSHログイン可能に設定しています。)

  • 仮想サーバーの作成時以下の項目を設定します。

    • 仮想サーバーのOS(CentOS,Windows等)

    • 仮想サーバーを配備するゾーン

    • サーバータイプ

      • 仮想vCPU数とメモリ容量の組み合わせを示すタイプ名です。
        たとえば、仮想vCPU数1でメモリ容量4GBの組み合わせで“small4、e-small4”というタイプ名で用意されています。

    • サーバー名

    • メモ

    • 料金プラン

    • SSHキー(Linux系OSの場合)

    • ファイアウォール( 「ファイアウォールグループの作成」のWebFW、DBFWを指定)

    • ネットワークグローバルIPアドレスを利用するかプライベートネットワークの指定(「プライベートLANの実装」のプライベートブリッジに接続していないプライベートLAN指定)

    • スクリプト

DBサーバーに追加NICを付与

image

構成図補足
【追加NIC】

仮想サーバーに対して複数のNICを付与することが可能となるサービスです。追加NICを利用することで、複数のプライベートLANに所属することが可能となり、複雑なネットワーク構成が実現可能です。

実装手順
  • 各ゾーンのDBサーバーに追加NICを付与

    • DBサーバーに対して、「DBサーバーに追加NICを付与」で作成した追加NICを付与します。

    • 追加NIC作成時に指定したプライベートLANにもDBサーバーを所属させることになります。

ロードバランサー(L4)の実装

image

構成図補足
  • 可用性向上と性能向上のための負荷分散機能として、ロードバランサー(L4)を提供しています。

  • ロードバランサー(L4)は同一リージョン内でゾーンをまたいでの負荷分散が可能です。

  • ロードバランサー(L4)ではアクセス制御の設定が可能です。

    アクセス制限

    アクセス元IP/CIDR

    備考

    許可するIPを指定する

    (構築時) x.x.x.x
    (完了後) 設定無し

    IP/CIDRを1つも指定しない場合は、すべてのIP/CIDRに適用されます。
    設定無しの場合は不特定のIPアドレスからアクセスが許可されることになります。

  • ロードバランサー(L4)の設定

    • 本構成では上記表の値を設定します。

  • ロードバランサー(L4)の特徴

    • ロードバランサー(L4)1つで、上記図のゾーンA/ゾーンBに配備された仮想サーバーに負荷分散可能です。

    • 外部ネットワークからの負荷分散にのみ利用可能です。

    • ロードバランサーを設定した場合、各サーバーでのアクセスログには、ロードバランサーのIPアドレスが送信元アドレスとして記録されます。HTTPアクセスの場合、ヘッダー情報「X-Forwarded-for」に送信元のIPアドレスの情報が付与されるため、送信元を特定したい場合はそちらの情報を利用してください。

    • ニフクラ内のサーバー以外には、利用できません。

    • ロードバランサーに追加するサーバーは「グローバルIP」を持つ必要があります。

    • ロードバランサーにサーバーを追加するときは、同一リージョン内でのみ選択可能です。

    • 作成時に選択した帯域は、複数コネクションでの最大帯域となります。単一のコネクションでは契約した帯域を使い切れない場合もあります。

DBサーバーの冗長化

image

  • DBサーバーの冗長化を実装

    • 複数のゾーン構成ではニフクラが提供しているニフクラRDBでは冗長構成を実装できません。そのため複数ゾーンの構成では冗長構成を利用者で実装する必要があります。実装方法、留意事項などは「ニフクラ個別設計・移行設計指針 1.データベース」章を参照してください。

    • 上記図では追加NICを利用して接続しているプライベートLANを同期用のネットワークとして利用する構成として記載しています。

アクセス制御

image

  • すべての作業が完了したら、アクセス制御を変更してインターネットに公開

    • 仮想サーバーの構築作業、ロードバランサー(L4)やデータベース仮想サーバーの設定作業が完了したら、ロードバランサー(L4)のアクセス制御を変更(設定無し)します。

    • ロードバランサー(L4)(80/TCPなど)へのアクセスを、不特定のアクセス元から接続可能な設定に変更します。

実装作業まとめ

image

  • 以上の実装手順で、複数ゾーン構成をニフクラ上に配備できました

  • 本章の構成では、仮想サーバーやデータベースを複数稼働させることで、同時に処理できる処理量を向上し、あわせてサーバー障害時にも業務を継続できるようにしています。
    さらに、複数のゾーンを利用しているため、片方のゾーンで不具合が発生した場合でも、もう片方のゾーンで業務を継続できるようにしています。

    • 各仮想サーバーのルーティング(片方のゾーン障害時の考慮も合わせて)は別途検討してください。

    • なお本章の構成では、WebサーバーにSSHでログインする設定にしていますが、SSHでログインするサーバーを別の仮想サーバーにする(別にログイン専用サーバーを用意する)と、サービス提供用のサーバーとメンテナンス用のサーバーとを分離できるため、セキュリティが向上します。

導入のご相談はお電話でも受け付けております。

0120-22-1200

0120-22-1200

受付時間:9:00~17:45(土日祝・当社指定の休業日を除く)
※携帯電話・PHSからもご利用可能